- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
12-TCP和ICMP攻击防御命令
本章节下载: 12-TCP和ICMP攻击防御命令 (307.23 KB)
目 录
1.1.2 tcp check-state interval
1.2.1 display ip icmp fast-reply statistics
1.2.2 display ipv6 icmpv6 fast-reply statistics
1.2.3 ip icmp fast-reply enable
1.2.4 ipv6 icmpv6 fast-reply enable
1.2.5 reset ip icmp fast-reply statistics
1.2.6 reset ipv6 icmpv6 fast-reply statistics
1.3.1 display ipv6 tcp anti-syn-flood flow-based entry
1.3.2 display ipv6 tcp anti-syn-flood flow-based entry count
1.3.3 display tcp anti-syn-flood flow-based configuration
1.3.4 display tcp anti-syn-flood flow-based entry
1.3.5 display tcp anti-syn-flood flow-based entry count
1.3.6 display tcp anti-syn-flood interface-based configuration
1.3.7 display tcp anti-syn-flood interface-based entry
1.3.8 display tcp anti-syn-flood interface-based entry count
1.3.9 reset ipv6 tcp anti-syn-flood flow-based entry
1.3.10 reset ipv6 tcp anti-syn-flood flow-based statistics
1.3.11 reset tcp anti-syn-flood flow-based entry
1.3.12 reset tcp anti-syn-flood flow-based statistics
1.3.13 reset tcp anti-syn-flood interface-based entry
1.3.14 reset tcp anti-syn-flood interface-based statistics
1.3.15 tcp anti-syn-flood flow-based duration
1.3.16 tcp anti-syn-flood flow-based enable
1.3.17 tcp anti-syn-flood flow-based threshold
1.3.18 tcp anti-syn-flood interface-based check-interval
1.3.19 tcp anti-syn-flood interface-based duration
1.3.20 tcp anti-syn-flood interface-based enable
1.3.21 tcp anti-syn-flood interface-based threshold
1.3.22 tcp anti-syn-flood log enable
1.3.23 tcp anti-syn-flood flow-based check-interval
tcp anti-naptha enable命令用来开启防止Naptha攻击功能。
undo tcp anti-naptha enable命令用来关闭防止Naptha攻击功能。
【命令】
tcp anti-naptha enable
undo tcp anti-naptha enable
【缺省情况】
防止Naptha攻击功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启防止Naptha攻击功能后,设备周期性地对各状态的TCP连接数进行检测(检测周期由tcp check-state interval命令配置),当某状态的最大TCP连接数超过指定的最大连接数后(最大连接数由tcp state命令配置),将加速该状态下TCP连接的老化。
【举例】
# 开启防止Naptha攻击功能。
<Sysname> system-view
[Sysname] tcp anti-naptha enable
【相关命令】
· tcp check-state interval
· tcp state
tcp check-state interval命令用来配置TCP连接状态的检测周期。
undo tcp check-state interval命令用来恢复缺省情况。
【命令】
tcp check-state interval interval
undo tcp check-state interval
【缺省情况】
TCP连接状态的检测周期为30秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:TCP连接状态的检测周期,取值范围为1~60,单位为秒。
【使用指导】
设备周期性地检测处于CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五种状态的TCP连接数,如果检测到某个状态的TCP连接数目超过设定的最大连接数时,将加速该状态下TCP连接的老化。
开启防止Naptha攻击功能后,设备才会周期性地对各状态的TCP连接数进行检测。
【举例】
# 配置TCP连接状态的检测周期为40秒。
<Sysname> system-view
[Sysname] tcp check-state interval 40
【相关命令】
· tcp anti-naptha enable
· tcp state
tcp state命令用来配置TCP连接的某一状态下的最大TCP连接数。
undo tcp state命令用来恢复为缺省情况。
【命令】
tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit number
undo tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit
【缺省情况】
CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五种状态最大TCP连接数均为50。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
closing:TCP连接的CLOSING状态。
established:TCP连接的ESTABLISHED状态。
fin-wait-1:TCP连接的FIN_WAIT_1状态。
fin-wait-2:TCP连接的FIN_WAIT_2状态。
last-ack:TCP连接的LAST_ACK状态。
connection-limit number:最大TCP连接数,取值范围为0~500,取值为0时,表示不会加速该状态下TCP连接的老化。
【使用指导】
开启防止Naptha攻击功能后,各状态的最大TCP连接数限制才能生效,连接数目超过最大连接数后,将加速该状态下TCP连接的老化。
【举例】
# 配置ESTABLISHED状态下的最大TCP连接数为100。
<Sysname> system-view
[Sysname] tcp state established connection-limit 100
【相关命令】
· tcp anti-naptha enable
· tcp check-state interval
display ip icmp fast-reply statistics命令用来显示ICMP快速应答的报文统计信息。
【命令】
(独立运行模式)
display ip icmp fast-reply statistics [ slot slot-number ]
(IRF模式)
display ip icmp fast-reply statistics [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的ICMP快速应答的报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,则显示所有单板上的ICMP快速应答的报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的ICMP快速应答的报文统计信息。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的ICMP快速应答的报文统计信息。(IRF模式)
【举例】
# 显示slot 3上的ICMP快速应答的报文统计信息。(独立运行模式)
<Sysname> display ip icmp fast-reply statistics slot 3
Number of fast replied ICMP messages: 419455
表1-1 display ip icmp fast-reply statistics 命令显示信息描述表
|
字段 |
描述 |
|
Number of fast replied ICMP messages |
ICMP快速应答的报文数统计 |
【相关命令】
· reset ip icmp fast-reply statistics
display ipv6 icmpv6 fast-reply statistics命令用来显示ICMPV6快速应答的报文统计信息。
【命令】
(独立运行模式)
display ipv6 icmpv6 fast-reply statistics [ slot slot-number ]
(IRF模式)
display ipv6 icmpv6 fast-reply statistics [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的ICMPV6快速应答的报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,则显示所有单板上的ICMPV6快速应答的报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的ICMPV6快速应答的报文统计信息。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的ICMPV6快速应答的报文统计信息。(IRF模式)
【举例】
# 显示slot 3上的ICMPV6快速应答的报文统计信息。(独立运行模式)
<Sysname> display ipv6 icmpv6 fast-reply statistics slot 3
Number of fast replied ICMPv6 messages: 419455
表1-2 display ipv6 icmpv6 fast-reply statistics命令显示信息描述表
|
字段 |
描述 |
|
Number of fast replied ICMPv6 messages |
ICMPv6快速应答的报文数统计 |
【相关命令】
· reset ipv6 icmpv6 fast-reply statistics
ip icmp fast-reply enable命令用来开启ICMP快速应答功能。
undo ip icmp fast-reply enable命令用来关闭ICMP快速应答功能。
【命令】
ip icmp fast-reply enable
undo ip icmp fast-reply enable
【缺省情况】
ICMP快速应答功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
为了防止ICMP请求报文攻击,用户可以开启ICMP快速应答功能,对于收到的ICMP请求报文由硬件快速应答。
【举例】
# 开启ICMP快速应答功能。
<Sysname> system-view
[Sysname] ip icmp fast-reply enable
【相关命令】
· ipv6 icmpv6 fast-reply enable
ipv6 icmpv6 fast-reply enable命令用来开启ICMPv6快速应答功能。
undo ipv6 icmpv6 fast-reply enable命令用来关闭ICMPv6快速应答功能。
【命令】
ipv6 icmpv6 fast-reply enable
undo ipv6 icmpv6 fast-reply enable
【缺省情况】
ICMPv6 快速应答功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
为了防止ICMPv6请求报文攻击,用户可以开启ICMPv6快速应答功能,对于收到的ICMPv6请求报文由硬件快速应答。
【举例】
# 开启ICMPv6快速应答功能。
<Sysname> system-view
[Sysname] ipv6 icmpv6 fast-reply enable
【相关命令】
· ip icmp fast-reply enable
reset ip icmp fast-reply statistics命令用来清除ICMP快速应答的报文统计信息。
【命令】
(独立运行模式)
reset ip icmp fast-reply statistics [ slot slot-number ]
(IRF模式)
reset ip icmp fast-reply statistics [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:清除指定单板的ICMP快速应答的报文统计信息。slot-number表示单板的槽位号。如果不指定该参数,则表示清除所有单板的ICMP快速应答的报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的ICMP快速应答的报文统计信息。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。如果没有指定该参数,则表示清除所有成员设备的所有单板上的ICMP快速应答的报文统计信息。(IRF模式)
【举例】
# 清除指定单板上的ICMP快速应答的报文统计信息。(独立运行模式)
<Sysname> reset ip icmp fast-reply statistics slot 3
【相关命令】
· display ip icmp fast-reply statistics
reset ipv6 icmpv6 fast-reply statistics命令用来清除ICMPv6快速应答的报文统计信息。
【命令】
(独立运行模式)
reset ipv6 icmpv6 fast-reply statistics [ slot slot-number ]
(IRF模式)
reset ipv6 icmpv6 fast-reply statistics [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:清除指定单板的ICMPv6快速应答的报文统计信息。slot-number表示单板的槽位号。如果不指定该参数,则表示清除所有单板的ICMPv6快速应答的报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的ICMPv6快速应答的报文统计信息。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。如果没有指定该参数,则表示清除所有成员设备的所有单板上的ICMPv6快速应答的报文统计信息。(IRF模式)
【举例】
# 清除指定单板上的ICMPv6快速应答的报文统计信息。(独立运行模式)
<Sysname> reset ipv6 icmpv6 fast-reply statistics slot 3
【相关命令】
· display ipv6 icmpv6 fast-reply statistics
display ipv6 tcp anti-syn-flood flow-based entry命令用来显示基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
【命令】
(独立运行模式)
display ipv6 tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * slot slot-number [ verbose ]
(IRF模式)
display ipv6 tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * chassis chassis-number slot slot-number [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息,包括公网和私网VPN。如果未指定本参数,则显示公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
vpn-instance vpn-instance-name显示指定VPN实例的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
destination-port port-number:显示指定攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。port-number表示端口号,取值范围为1~65535。如果未指定本参数,则显示所有目的端口号的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
source ipv6-address:显示指定攻击源IPv6地址的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。ipv6-address 表示IPv6地址。如果未指定本参数,则显示所有源IPv6地址的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
type { ip | mpls }:显示指定报文类型的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则显示所有报文类型的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
slot slot-number:显示指定单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
verbose:显示基于流的TCP SYN Flood攻击防范的IPv6攻击表项的详细信息。如果未指定本参数,则显示基于流的TCP SYN Flood攻击防范的IPv6攻击表项的简要信息。
【举例】
# 显示Slot3上公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项的简要信息。
<Sysname> display ipv6 tcp anti-syn-flood flow-based entry slot 3
SrcAddr DstPort VPN Type Packets dropped
2::1 179 -- IP 987654321
# 显示Slot3上公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项的详细信息。
<Sysname> display ipv6 tcp anti-syn-flood flow-based entry slot 3 verbose
SrcAddr: 2::1
DstPort: 179
VPN: --
Type: IP
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/05/18 09:30:00
Packets dropped: 987654321
表1-3 display ipv6 tcp anti-syn-flood flow-based entry命令显示信息描述表
|
字段 |
描述 |
|
SrcAddr |
攻击源IPv6地址 |
|
DstPort |
攻击目的端口号 |
|
VPN |
VPN实例名称,如果是公网则显示-- |
|
Type |
报文类型:MPLS表示MPLS报文,IP表示IP报文 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not enough resources:资源不足 |
|
Aging time |
基于流的TCP SYN Flood攻击防范的攻击表项的剩余老化时间,单位为秒 |
|
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
|
Packets dropped |
基于流的TCP SYN Flood攻击防范丢弃的SYN报文数 |
【相关命令】
· reset ipv6 tcp anti-syn-flood flow-based entry
· reset ipv6 tcp anti-syn-flood flow-based statistics
display ipv6 tcp anti-syn-flood flow-based entry count命令用来显示基于流的TCP SYN Flood攻击防范的IPv6攻击表项的个数。
【命令】
(独立运行模式)
display ipv6 tcp anti-syn-flood flow-based entry slot slot-number count
(IRF模式)
display ipv6 tcp anti-syn-flood flow-based entry chassis chassis-number slot slot-number count
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项的个数。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【举例】
# 显示Slot3上基于流的TCP SYN Flood攻击防范的IPv6攻击表项的个数。
<Sysname> display ipv6 tcp anti-syn-flood flow-based entry slot 3 count
Total flow-based entries: 1
表1-4 display ipv6 tcp anti-syn-flood flow-based entry count命令显示信息描述表
|
字段 |
描述 |
|
Total flow-based entries |
基于流的TCP SYN Flood攻击防范的IPv6攻击表项的个数 |
【相关命令】
· reset ipv6 tcp anti-syn-flood flow-based entry
· reset ipv6 tcp anti-syn-flood flow-based statistics
display tcp anti-syn-flood flow-based configuration命令用来显示基于流的TCP SYN Flood攻击防范功能的配置信息。
【命令】
display tcp anti-syn-flood flow-based configuration
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示基于流的TCP SYN Flood攻击防范功能的配置信息。
<Sysname> display tcp anti-syn-flood flow-based configuration
Flow-based TCP SYN flood attack prevention is enabled.
Check interval: 1 seconds
Duration: 5 minutes
Threshold: 100 packets per check interval
表1-5 display tcp anti-syn-flood flow-based configuration命令显示信息描述表
|
字段 |
描述 |
|
Flow-based TCP SYN flood attack prevention is enabled. |
基于流的TCP SYN Flood攻击防范功能处于开启状态 |
|
Flow-based TCP SYN flood attack prevention is disabled. |
基于流的TCP SYN Flood攻击防范功能处于关闭状态 |
|
Check interval |
基于流的TCP SYN Flood攻击防范功能的检测周期,单位为秒 |
|
Duration |
基于流的TCP SYN Flood攻击防范功能的持续时长,单位为分钟 |
|
Threshold |
基于流的TCP SYN Flood攻击防范功能的触发阈值 |
【相关命令】
· tcp anti-syn-flood flow-based enable
display tcp anti-syn-flood flow-based entry命令用来显示基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
【命令】
(独立运行模式)
display tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * slot slot-number [ verbose ]
(IRF模式)
display tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * chassis chassis-number slot slot-number [ verbose ]
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息,包括公网和私网VPN。如果未指定本参数,则显示公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
vpn-instance vpn-instance-name显示指定VPN实例的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
destination-port port-number:显示指定攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。port-number表示端口号,取值范围为1~65535。如果未指定本参数,则显示所有攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
source ipv4-address:显示指定攻击源IPv4地址的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。ipv4-address 表示IPv4地址。如果未指定本参数,则显示所有攻击源IPv4地址的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
type { ip | mpls }:显示指定报文类型的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则显示所有报文类型的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
slot slot-number:显示指定单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
verbose:显示基于流的TCP SYN Flood攻击防范的IPv4攻击表项的详细信息。如果未指定本参数,则显示基于流的TCP SYN Flood攻击防范的IPv4攻击表项的简要信息。
【举例】
# 显示Slot3上公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项的简要信息。
<Sysname> display tcp anti-syn-flood flow-based entry slot 3
SrcAddr DstPort VPN Type Packets dropped
1.1.1.1 179 -- MPLS 12345678
2.1.1.1 179 -- IP 87654321
# 显示Slot3上公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项的详细信息。
<Sysname> display tcp anti-syn-flood flow-based entry slot 3 verbose
SrcAddr: 1.1.1.1
DstPort: 179
VPN: --
Type: MPLS
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/01/07 18:55:03
Packets dropped: 12345678
SrcAddr: 2.1.1.1
DstPort: 179
VPN: 1
Type: IP
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/05/18 09:30:00
Packets dropped: 87654321
表1-6 display tcp anti-syn-flood flow-based entry命令显示信息描述表
|
字段 |
描述 |
|
SrcAddr |
攻击报文的源IP地址 |
|
DstPort |
攻击目的端口号 |
|
VPN |
VPN实例名称,如果是公网则显示-- |
|
Type |
报文类型:MPLS表示MPLS报文,IP表示IP报文 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not enough resources:资源不足 |
|
Aging time |
基于流的TCP SYN Flood攻击防范的攻击表项的剩余老化时间,单位为秒 |
|
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
|
Packets dropped |
基于流的TCP SYN Flood攻击防范丢弃的SYN报文数 |
【相关命令】
· reset tcp anti-syn-flood flow-based entry
· reset tcp anti-syn-flood flow-based statistics
display tcp anti-syn-flood flow-based entry count命令用来显示基于流的TCP SYN Flood攻击防范的IPv4攻击表项的个数。
【命令】
(独立运行模式)
display tcp anti-syn-flood flow-based entry slot slot-number count
(IRF模式)
display tcp anti-syn-flood flow-based entry chassis chassis-number slot slot-number count
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项的个数。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项的个数。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【举例】
# 显示Slot3上基于流的TCP SYN Flood攻击防范的IPv4攻击表项的个数。
<Sysname> display tcp anti-syn-flood flow-based entry slot 3 count
Total flow-based entries: 2
表1-7 display tcp anti-syn-flood flow-based entry count命令显示信息描述表
|
字段 |
描述 |
|
Total flow-based entries |
基于流的TCP SYN Flood攻击防范的IPv4表项的个数 |
【相关命令】
· reset tcp anti-syn-flood flow-based entry
· reset tcp anti-syn-flood flow-based statistics
display tcp anti-syn-flood interface-based configuration命令用来显示基于接口的TCP SYN Flood攻击防范功能的配置信息。
【命令】
display tcp anti-syn-flood interface-based configuration
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
【举例】
#显示基于接口的TCP SYN Flood攻击防范功能的配置信息。
<Sysname> display tcp anti-syn-flood interface-based configuration
Interface-based TCP SYN flood attack prevention is enabled.
Check interval: 1 seconds
Duration: 5 minutes
Threshold: 100 packets per check interval
表1-8 display tcp anti-syn-flood interface-based configuration命令显示信息描述表
|
字段 |
描述 |
|
Interfaced-based TCP SYN flood attack prevention is enabled. |
基于接口的TCP SYN Flood攻击防范功能处于开启状态 |
|
Interface-based TCP SYN flood attack prevention is disabled. |
基于接口的TCP SYN Flood攻击防范功能处于关闭状态 |
|
Check interval |
基于接口的TCP SYN Flood攻击防范功能的检测周期,单位为秒 |
|
Duration |
基于接口的TCP SYN Flood攻击防范功能的持续时间,单位为分钟 |
|
Threshold |
基于接口的TCP SYN Flood攻击防范功能的触发阈值 |
【相关命令】
· tcp anti-syn-flood interface-based enable
display tcp anti-syn-flood interface-based entry命令用来显示基于接口的TCP SYN Flood攻击防范的攻击表项信息。
【命令】
(独立运行模式)
display tcp anti-syn-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * slot slot-number [ verbose ]
(IRF模式)
display tcp anti-syn-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * chassis chassis-number slot slot-number [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的基于接口的TCP SYN Flood攻击防范的攻击表项信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则显示所有接口的基于接口的TCP SYN Flood攻击防范的攻击表项信息。
type { ip | mpls }:显示指定报文类型的基于接口的TCP SYN Flood攻击防范的攻击表项信息。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则显示所有报文类型的基于接口的TCP SYN Flood攻击防范的攻击表项信息。
slot slot-number:显示指定单板的基于接口的TCP SYN Flood攻击防范的攻击表项信息。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于接口的TCP SYN Flood攻击防范的攻击表项信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
verbose:显示基于接口的TCP SYN Flood攻击防范的攻击表项的详细信息。如果未指定本参数,则显示基于接口的TCP SYN Flood攻击防范的攻击表项的简要信息。
【举例】
# 显示slot3上的基于接口的TCP SYN Flood攻击防范的攻击表项的简要信息。
<Sysname> display tcp anti-syn-flood interface-based entry slot 3
Interface Type Packets totally received
GE3/1/1 MPLS 18446744073709551615
GE3/1/2 IP 1234567
# 显示slot3上的基于接口的TCP SYN Flood攻击防范的攻击表项的详细信息。
<Sysname> display tcp anti-syn-flood interface-based entry slot 3 verbose
Interface: GE3/1/1
Type: MPLS
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/08/07 10:33:35
Packets totally received: 18446744073709551615
Packets sent to CPU: 18446744073709551615
Interface: GE3/1/2
Type: IP
Hardware status: Succeeded
Aging time: 3210 seconds
Attack time: 2018/07/07 02:33:12
Packets totally received: 1234567
Packets sent to CPU: 1000000
表1-9 display tcp anti-syn-flood interface-based entry命令显示信息描述表
|
字段 |
描述 |
|
Interface |
受到攻击的接口 |
|
Type |
报文类型:MPLS表示MPLS报文,IP表示IP报文 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not enough resources:资源不足 |
|
Aging time |
基于接口的TCP SYN Flood攻击防范的攻击表项的剩余老化时间,单位为秒 |
|
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
|
Packets totally received |
收到的总报文数 |
|
Packets sent to CPU |
上送到CPU的报文数 |
【相关命令】
· reset tcp anti-syn-flood interface-based entry
· reset tcp anti-syn-flood interface-based entry statistics
display tcp anti-syn-flood interface-based entry count命令用来显示基于接口的TCP SYN Flood攻击防范的攻击表项的个数。
【命令】
(独立运行模式)
display tcp anti-syn-flood interface-based entry slot slot-number count
(IRF模式)
display tcp anti-syn-flood interface-based entry chassis chassis-number slot slot-number count
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的基于接口的TCP SYN Flood攻击防范的攻击表项的个数。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于接口的TCP SYN Flood攻击防范的攻击表项的个数。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【举例】
# 显示slot3上的基于接口的TCP SYN Flood攻击防范的攻击表项的个数。
<Sysname> display tcp anti-syn-flood interface-based entry slot 3 count
Total interface-based entries: 2
表1-10 display tcp anti-syn-flood interface-based entry count命令显示信息描述表
|
字段 |
描述 |
|
Total interface-based entries |
基于接口的TCP SYN Flood攻击防范的攻击表项的个数 |
【相关命令】
· reset tcp anti-syn-flood interface-based entry
· reset tcp anti-syn-flood interface-based entry statistics
reset ipv6 tcp anti-syn-flood flow-based entry命令用来删除基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
【命令】
(独立运行模式)
reset ipv6 tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ slot slot-number ]
(IRF模式)
reset ipv6 tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:删除所有基于流的TCP SYN Flood攻击防范的IPv6攻击表项,包括公网和私网VPN。如果未指定本参数,则删除公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
vpn-instance vpn-instance-name:删除指定VPN实例的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则删除公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
destination-port port-number:删除指定攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。port-number表示端口号,取值范围为1~65535。如果未指定攻击目的端口号,则删除所有攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
source ipv6-address:删除指定攻击源IPv6地址的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。ipv6-address表示IPv6地址。如果未指定攻击源IPv6地址,则删除所有攻击源IPv6地址的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
type { ip | mpls }:删除指定报文类型的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则删除所有报文类型的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
slot slot-number:删除指定单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。(独立运行模式)
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。(IRF模式)
【使用指导】
如果未指定任何参数,则删除设备上所有公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
【举例】
# 删除公网的攻击源IPv6地址为2000::1,攻击目的端口号为200的基于流的TCP SYN Flood攻击防范的IPv6表项。
<Sysname> reset ipv6 tcp anti-syn-flood flow-based entry destination-port 200 source 2000::1
【相关命令】
· display ipv6 tcp anti-syn-flood flow-based entry
reset ipv6 tcp anti-syn-flood flow-based statistics命令用来清除基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
【命令】
(独立运行模式)
reset ipv6 tcp anti-syn-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ slot slot-number ]
(IRF模式)
reset ipv6 tcp anti-syn-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:清除所有基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息,包括公网和私网。如果未指定本参数,则清除公网的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
vpn-instance vpn-instance-name:清除指定VPN实例的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则清除公网的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
destination-port port-number:清除指定攻击目的端口号的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。port-number表示端口号,取值范围为1~65535。如果未指定攻击目的端口号,则清除所有攻击目的端口号的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
source ipv6-address:清除指定攻击源IPv6地址的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。ipv6-address表示IPv6地址。如果未指定源IPv6地址,则清除所有攻击源IPv6地址的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
type { ip | mpls }:清除指定报文类型的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则清除所有报文类型的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
slot slot-number:清除指定单板的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,则清除所有单板的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则清除所有单板的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。(IRF模式)
【使用指导】
如果未指定任何参数,则清除设备上所有公网的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
【举例】
# 清除公网的攻击源IPv6地址为2000::1,攻击目的端口号为200的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
<Sysname> reset ipv6 tcp anti-syn-flood flow-based statistics destination-port 200 source 2000::1
【相关命令】
· display ipv6 tcp anti-syn-flood flow-based entry
reset tcp anti-syn-flood flow-based entry命令用来删除基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
【命令】
(独立运行模式)
reset tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ slot slot-number ]
(IRF模式)
reset tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:删除所有基于流的TCP SYN Flood攻击防范的IPv4攻击表项,包括公网和私网VPN。如果未指定本参数,则删除公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
vpn-instance vpn-instance-name:删除指定VPN实例的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则删除公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
destination-port port-number:删除指定攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。port-number表示端口号,取值范围为1~65535。如果未指定攻击目的端口号,则删除所有攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
source ipv4-address:删除指定攻击源IPv4地址的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。ipv4-address表示IPv4地址。如果未指定攻击源IPv4地址,则删除所有攻击源IPv4地址的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
type { ip | mpls }:删除指定报文类型的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则删除所有报文类型的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
slot slot-number:删除指定单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。(独立运行模式)
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。(IRF模式)
【使用指导】
如果未指定任何参数,则删除设备上所有公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
【举例】
# 删除公网的攻击源IPv4地址为2.2.2.2,攻击目的端口号为1024的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
<Sysname> reset tcp anti-syn-flood flow-based entry destination-port 1024 source 2.2.2.2
【相关命令】
· display tcp anti-syn-flood flow-based entry
reset tcp anti-syn-flood flow-based statistics命令用来清除基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
【命令】
(独立运行模式)
reset tcp anti-syn-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ slot slot-number ]
(IRF模式)
reset tcp anti-syn-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:清除所有基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息,包括公网和私网。如果未指定本参数,则清除公网的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
vpn-instance vpn-instance-name:清除指定VPN实例的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则清除公网的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
destination-port port-number:清除指定攻击目的端口号的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。port-number表示端口号,取值范围为1~65535。如果未指定攻击目的端口号,则清除所有攻击目的端口号的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
source ipv4-address:清除指定攻击源IPv4地址的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。ipv4-address表示IPv4地址。如果未指定攻击源IPv4地址,则清除所有攻击源IPv4地址的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
type { ip | mpls }:清除指定报文类型的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则清除所有报文类型的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
slot slot-number:清除指定单板的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,则清除所有单板的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则清除所有单板的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。(IRF模式)
【使用指导】
如果未指定任何参数,则清除设备上所有公网的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
【举例】
# 清除公网的攻击源IPv4地址为2.2.2.2,攻击目的端口号为1024的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
<Sysname> reset tcp anti-syn-flood flow-based statistics destination-port 1024 source 2.2.2.2
【相关命令】
· display tcp anti-syn-flood flow-based entry
reset tcp anti-syn-flood interface-based entry命令用来删除基于接口的TCP SYN Flood攻击防范的攻击表项。
【命令】
(独立运行模式)
reset tcp anti-syn-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * [ slot slot-number ]
(IRF模式)
reset tcp anti-syn-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:删除指定接口的基于接口的TCP SYN Flood攻击防范的攻击表项,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则删除所有接口的基于接口的TCP SYN Flood攻击防范的攻击表项。
type { ip | mpls }:删除指定报文类型的基于接口的TCP SYN Flood攻击防范的攻击表项。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则删除所有报文类型的基于接口的TCP SYN Flood攻击防范的攻击表项。
slot slot-number:删除指定单板的基于接口的TCP SYN Flood攻击防范的攻击表项。slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于接口的TCP SYN Flood攻击防范的攻击表项。(独立运行模式)
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于接口的TCP SYN Flood攻击防范的攻击表项。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于接口的TCP SYN Flood攻击防范的攻击表项。(IRF模式)
【使用指导】
如果未指定任何参数,则删除设备上所有基于接口的TCP SYN Flood攻击防范的攻击表项。
【举例】
# 删除所有基于接口的TCP SYN Flood攻击防范的攻击表项。
<Sysname> reset tcp anti-syn-flood interface-based entry
【相关命令】
· display tcp anti-syn-flood interface-based entry
reset tcp anti-syn-flood interface-based statistics命令用来清除基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。
【命令】
(独立运行模式)
reset tcp anti-syn-flood interface-based statistics [ interface interface-type interface-number | type { ip | mpls } ] * [ slot slot-number ]
(IRF模式)
reset tcp anti-syn-flood interface-based statistics [ interface interface-type interface-number | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:清除指定接口的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则清除所有接口的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。
type { ip | mpls }:清除指定报文类型的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则清除所有报文类型的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。
slot slot-number:清除指定单板的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,则清除所有单板的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则清除所有单板的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。(IRF模式)
【使用指导】
如果未指定任何参数,则清除设备上所有基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。
【举例】
# 清除所有基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。
<Sysname> reset tcp anti-syn-flood interface-based statistics
【相关命令】
· display tcp anti-syn-flood interface-based entry
tcp anti-syn-flood flow-based duration命令用来配置基于流的TCP SYN Flood攻击防范功能的持续时间。
undo tcp anti-syn-flood flow-based duration命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood flow-based duration minutes
undo tcp anti-syn-flood flow-based duration
【缺省情况】
基于流的TCP SYN Flood攻击防范功能的持续时间为5分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
minutes:基于流的TCP SYN Flood攻击防范功能的持续时间,取值范围为1~3600,单位为分钟。
【使用指导】
开启基于流的TCP SYN Flood攻击防范功能后,设备处于攻击检测状态。当监测到存在SYN Flood攻击时,则进入攻击防范状态,丢弃后续收到的SYN报文。在攻击防范的持续时间到达后,设备由攻击防范状态恢复为攻击检测状态。
【举例】
# 配置基于流的TCP SYN Flood攻击防范功能的持续时间为10分钟。
<Sysname> system-view
[Sysname] tcp anti-syn-flood flow-based duration 10
【相关命令】
· display tcp anti-syn-flood flow-based configuration
· tcp anti-syn-flood flow-based enable
· tcp anti-syn-flood flow-based check-interval
· tcp anti-syn-flood flow-based threshold
tcp anti-syn-flood flow-based enable命令用来开启基于流的TCP SYN Flood攻击防范功能。
undo tcp anti-syn-flood flow-based enable命令用来关闭基于流的TCP SYN Flood攻击防范功能。
【命令】
tcp anti-syn-flood flow-based enable
undo tcp anti-syn-flood flow-based enable
【缺省情况】
基于流的TCP SYN Flood攻击防范功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
根据TCP协议,TCP连接的建立需要经过三次握手。利用TCP连接的建立过程,一些恶意的攻击者可以进行SYN Flood攻击。攻击者向设备发送大量请求建立TCP连接的SYN报文,而不回应设备的SYN ACK报文,导致设备上建立了大量的TCP半连接。从而达到耗费设备资源,使设备无法处理正常业务的目的。
开启基于流的TCP SYN Flood攻击防范功能后,设备收到请求端(要与其建立TCP连接的客户端)发送的SYN报文后,如果在一个检测周期内收到SYN报文的个数达到或超过触发阈值,即认为存在攻击,设备丢弃后续收到的SYN报文。
【举例】
# 开启基于流的TCP SYN Flood攻击防范功能。
<Sysname> system-view
[Sysname] tcp anti-syn-flood flow-based enable
【相关命令】
· display tcp anti-syn-flood flow-based configuration
· tcp anti-syn-flood flow-based check-interval
· tcp anti-syn-flood flow-based threshold
· tcp anti-syn-flood flow-based duration
tcp anti-syn-flood flow-based threshold命令用来配置基于流的TCP SYN Flood攻击防范功能的触发阈值。
undo tcp anti-syn-flood flow-based threshold命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood flow-based threshold threshold-value
undo tcp anti-syn-flood flow-based threshold
【缺省情况】
基于流的TCP SYN Flood攻击防范功能的触发阈值为100。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold-value:基于流的TCP SYN Flood 攻击防范功能的触发阈值,即一个检测周期内可收到SYN报文的最大个数,取值范围为1~1000000。
【使用指导】
开启基于流的TCP SYN Flood攻击防范功能后,设备收到请求端(要与其建立TCP连接的客户端)发送的SYN报文后,如果在一个检测周期内收到SYN报文的个数达到或超过触发阈值,即认为存在攻击,设备丢弃后续收到的SYN报文。
【举例】
# 配置基于流的TCP SYN Flood攻击防范功能的触发阈值为200。
<Sysname> system-view
[Sysname] tcp anti-syn-flood flow-based threshold 200
【相关命令】
· display anti-syn-flood flow-based configuration
· tcp anti-syn-flood flow-based check-interval
· tcp anti-syn-flood flow-based enable
· tcp anti-syn-flood flow-based duration
tcp anti-syn-flood interface-based check-interval命令用来配置基于接口的TCP SYN Flood攻击防范功能的检测周期。
undo tcp anti-syn-flood interface-based check-interval命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood interface-based check-interval interval
undo tcp anti-syn-flood interface-based check-interval
【缺省情况】
基于接口的TCP SYN Flood攻击防范功能的检测周期为1秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:基于接口的TCP SYN Flood攻击防范功能的检测周期,取值范围为1~60,单位为秒。
【使用指导】
基于接口的TCP SYN Flood攻击防范功能以从某接口收到的SYN Flood攻击报文进行统计。在本命令指定的检测周期内,如果某接口收到请求端(要与其建立TCP连接的客户端)发送的SYN报文超过阈值,则认为受到了攻击,系统会进入攻击防范状态,限速后续收到的SYN报文。
当网络环境攻击较多时,建议配置较小的检测周期,便于及时发现TCP SYN Flood攻击。否则,可以配置较大的检测周期。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置基于接口的TCP SYN Flood攻击防范功能的检测周期为30秒。
<Sysname> system-view
[Sysname] tcp anti-syn-flood interface-based check-interval 30
【相关命令】
· display tcp anti-syn-flood interface-based configuration
· tcp anti-syn-flood interface-based duration
· tcp anti-syn-flood interface-based enable
· tcp anti-syn-flood interface-based threshold
tcp anti-syn-flood interface-based duration命令用来配置基于接口的TCP SYN Flood攻击防范功能的持续时间。
undo tcp anti-syn-flood interface-based duration命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood interface-based duration minutes
undo tcp anti-syn-flood interface-based duration
【缺省情况】
基于接口的TCP SYN Flood攻击防范功能的持续时间为5分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
minutes:基于接口的TCP SYN Flood攻击防范功能的持续时间,取值范围为1~3600,单位为分钟。
【使用指导】
开启基于接口的TCP SYN Flood攻击防范功能后,设备处于攻击检测状态。当监测到存在SYN Flood攻击时,则进入攻击防范状态,限速后续收到的SYN报文。在攻击防范的持续时间到达后,设备由攻击防范状态恢复为攻击检测状态。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置基于接口的TCP SYN Flood攻击防范功能的持续时间为1分钟。
<Sysname> system-view
[Sysname] tcp anti-syn-flood interface-based duration 1
【相关命令】
· display tcp anti-syn-flood interface-based configuration
· tcp anti-syn-flood interface-based check-interval
· tcp anti-syn-flood interface-based enable
· tcp anti-syn-flood interface-based threshold
tcp anti-syn-flood interface-based enable命令用来开启基于接口的TCP SYN Flood攻击防范功能。
undo tcp anti-syn-flood interface-based enable命令用来关闭基于接口的TCP SYN Flood攻击防范功能。
【命令】
tcp anti-syn-flood interface-based enable
undo tcp anti-syn-flood interface-based enable
【缺省情况】
基于接口的TCP SYN Flood攻击防范功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
根据TCP协议,TCP连接的建立需要经过三次握手。利用TCP连接的建立过程,一些恶意的攻击者可以进行SYN Flood攻击。攻击者向设备发送大量请求建立TCP连接的SYN报文,收到设备应答的SYN报文后而不进行应答,导致设备上建立了大量的TCP半连接。从而达到耗费设备资源,使设备无法处理正常业务的目的。
开启基于接口的TCP SYN Flood攻击防范功能后,设备从某接口收到请求端(要与其建立TCP连接的客户端)发送的SYN报文后开始计时,如果在一个检测周期内收到SYN报文的个数大于或等于阈值,则认为存在攻击,设备会将该接口接收SYN报文的速率限制在一个固定值内。
【举例】
# 开启基于接口的TCP SYN Flood攻击防范功能。
<Sysname> system-view
[Sysname] tcp anti-syn-flood interface-based enable
【相关命令】
· display tcp anti-syn-flood interface-based configuration
· tcp anti-syn-flood interface-based duration
· tcp anti-syn-flood interface-based check-interval
· tcp anti-syn-flood interface-based threshold
tcp anti-syn-flood interface-based threshold命令用来配置基于接口的TCP SYN Flood攻击防范功能的触发阈值。
undo tcp anti-syn-flood interface-based threshold命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood interface-based threshold threshold-value
undo tcp anti-syn-flood interface-based threshold
【缺省情况】
基于接口的TCP SYN Flood攻击防范功能的触发阈值为100
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold-value:基于接口的TCP SYN Flood攻击防范功能的触发阈值,即一个检测周期内可收到SYN报文的最大个数,取值范围为1~1000000。
【使用指导】
开启基于接口的TCP SYN Flood攻击防范功能后,设备收到请求端(要与其建立TCP连接的客户端)发送的SYN报文后,如果在一个检测周期内,收到的SYN报文个数大于或等于阈值,即认为存在攻击。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置基于接口的TCP SYN Flood攻击防范的触发阈值为10000。
<Sysname> system-view
[Sysname] tcp anti-syn-flood interface-based threshold 10000
【相关命令】
· display tcp anti-syn-flood interface-based configuration
· tcp anti-syn-flood interface-based check-interval
· tcp anti-syn-flood interface-based duration
· tcp anti-syn-flood interface-based enable
tcp anti-syn-flood log enable命令用来开启TCP SYN Flood攻击防范的日志信息功能。
undo tcp anti-syn-flood log enable命令用来关闭TCP SYN Flood攻击防范的日志信息功能。
【命令】
tcp anti-syn-flood log enable
undo tcp anti-syn-flood log enable
【缺省情况】
TCP SYN Flood攻击防范的日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
TCP SYN Flood攻击防范日志可以方便管理员定位和解决问题。设备生成的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的日志信息而影响设备性能,除了审计或定位问题外,一般情况下建议不要开启此功能。
【举例】
# 开启TCP SYN Flood攻击防范的日志信息功能。
<Sysname> system-view
[Sysname] tcp anti-syn-flood log enable
【相关命令】
· tcp anti-syn-flood flow-based enable
· tcp anti-syn-flood interface-based enable
tcp anti-syn-flood flow-based check-interval命令用来配置基于流的TCP SYN Flood攻击防范功能的检测周期。
undo tcp anti-syn-flood flow-based check-interval命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood flow-based check-interval interval
undo tcp anti-syn-flood flow-based check-interval
【缺省情况】
基于流的TCP SYN Flood攻击防范功能的检测周期为1秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:基于流的TCP SYN Flood攻击防范功能的检测周期,取值范围为1~60,单位为秒。
【使用指导】
基于流的TCP SYN Flood攻击防范功能使用源IP地址、目的端口号、VPN和报文类型标识一条数据流。在本命令指定的检测周期内,如果设备收到请求端(要与其建立TCP连接的客户端)发送的SYN报文超过一定的阈值,则认为设备受到了攻击,系统会进入攻击防范状态,丢弃后续收到的SYN报文。
当网络环境攻击较多时,建议配置较小的检测周期,便于TCP SYN Flood攻击防范。否则,可以配置较大的检测周期。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 设置基于流的TCP SYN Flood攻击防范功能的检测周期为30秒。
<Sysname> system-view
[Sysname] tcp anti-syn-flood flow-based check-interval 30
【相关命令】
· display tcp anti-syn-flood flow-based configuration
· tcp anti-syn-flood flow-based enable
· tcp anti-syn-flood flow-based duration
· tcp anti-syn-flood flow-based threshold
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
